В GitHub Security предупредили, что злоумышленники атакуют пользователей GitHub с помощью фишинговой кампании, выдавая себя за сервис CircleCI. Они собирают учётные данные пользователей и коды двухфакторной аутентификации.
Мошенники рассылают пользователям сообщения, в которых говорится, что срок действия их сеанса CircleCI истёк и требуется снова войти в систему, используя учётные данные GitHub. По клику человек переходит на фишинговый сайт, который выглядит как страница входа в GitHub, но при этом собирает все введённые учётные данные. У пользователей с включённой двухфакторной аутентификацией на основе TOTP фишинговый сайт также передаёт любые коды TOTP злоумышленнику в режиме реального времени, позволяя ему взломать соответствующие учётные записи. Атака не затрагивает только учётные записи, защищённые аппаратными ключами безопасности.
При краже данных хакер может быстро создать токены личного доступа GitHub (PAT), авторизовать приложения OAuth или добавить ключи SSH к учётной записи, чтобы сохранить доступ к ней в случае, если пользователь изменит свой пароль. Во многих случаях он немедленно загружает содержимое частного репозитория, доступное скомпрометированному пользователю, включая те, которые принадлежат учётным записям организаций.
Злоумышленник использует провайдеров VPN или прокси для загрузки данных частного репозитория через скомпрометированные учётные записи пользователей. Если учётная запись принадлежит организации, то хакер может создать для себя новые аккаунты пользователей GitHub, чтобы внедриться в неё.
Известные фишинговые домены включают:
circle-ci[.]com,
emails-circleci[.]com,
circle-cl[.]com,
email-circleci[.]com.
В GitHub сбросили пароли затронутых атакой пользователей и удалили учётные данные, добавленные злоумышленниками, а также уведомили всех пострадавших пользователей и организации. Платформа продолжит отслеживать вредоносную активность.
Клиентам и организациям на GitHub рекомендуется сбросить пароли, коды двухфакторного восстановления, проверить личные токены доступа на наличие неиспользованных токенов.
Также GitHub советует рассмотреть использование аппаратных ключей безопасности или двухфакторной аутентификации WebAuthn и встроенного в браузер менеджера паролей для автозаполнения паролей для знакомых веб-сайтов.
В апреле GitHub Security рассказала об утечке данных из приватных репозиториев клиентов платформы с использованием скомпрометированных токенов OAuth, сгенерированных для сервисов Heroku и Travis-CIGitHub. Проблема также затронула часть сервисов GitHub и инфраструктуру проекта NPM.
В ходе атаки украли данные около 100 тыс. учётных записей, все манифесты и метаданные приватных пакетов по состоянию на апрель года, имена и semVer изданных версий всех приватных пакетов на апрель 2022 года, а также приватные пакеты двух организаций.
Heroku признала, что из-за кражи OAuth-токенов GitHub злоумышленники получили несанкционированный доступ к внутренней базе данных клиентов. В связи с этим компания решила сбросить все пароли пользователей и гарантировала восстановление потенциально затронутых учётных данных.
